ЭнергетикаМеталлургияХимия и нефтехимияГорнодобывающая отрасль, угольНефть и газАПК и пищевая промышленностьМашиностроение, производство оборудованияТранспортАвиация, аэрокосмическая индустрияАвто/МотоАудио, видео, бытовая техникаТелекоммуникации, мобильная связьЛегкая промышленностьМебель, лес, деревообработкаСтроительство, стройматериалы, ремонтДругие отрасли
|
 |
Екатеринбург, 08.09.2003 - В отчете, посвященном событиям прошедшей недели, мы рассмотрим вирусы Blaster.F, Mapson.D, Darby.A, Apdoor.B, Daol.A и Surfbar.
✐ место для Вашей рекламы Blaster.F заражает только те компьютеры, которые работают под управлением Windows 2003/XP/2000/NT. Это червь, использующий брешь «Переполнение буфера в интерфейсе RPC» («Buffer Overrun in RPC Interface») для распространения на как можно большее число компьютеров. В частности, червь использует данную брешь для загрузки своей копии на заражаемый им компьютер. Для этого Blaster.F снабжен собственным TFTP сервером. Явным признаком заражения компьютера червем Blaster.F является возрастание сетевого трафика на портах TCP 135, 4444 и UDP 69, а также зависание и перезагрузка компьютера.
Mapson.D – это опасный червь, распространяющийся по электронной почте, через программы обмена файлами, а также по каналам IRC. Он завершает многие системные процессы Windows, а также процессы антивирусных программ и межсетевых экранов. Таким образом, зараженные компьютеры становятся уязвимыми перед атаками других вирусов и червей.
На компьютерах с Windows NT Mapson.D запускает сессию Telnet с пользователем GEDZAC, наделенным червем правами администратора. Это позволяет Mapson.D подтверждать получаемые IP адреса.
Третьим вредоносным кодом сегодняшнего отчета является Darby.A, вирус, имеющий характеристики червей. Так же, как и Mapson.D, он распространяется по электронной почте посредством программ обмена файлами и через IRC. Кроме того, он завершает процессы, принадлежащие некоторым антивирусным программам и прочим приложениям, таким как межсетевые экраны и средства контроля над системой.
Darby.A заражает шаблоны Word (файл NORMAL.DOT) и Excel (файл TEMPLATE.XLS). Все документы Word и книги Excel, основанные на этих шаблонах, будут заражены. Кроме того, Darby.A отключает средства редактирования макросов, встроенные в эти программы. Apdoor.B – это вредоносная программа, позволяющая хакерам получать удаленный доступ к пораженному компьютеру. Для этого она соединяется с сервером IRC и подключается к настроенному каналу. После этого хакер может получить удаленный доступ к компьютеру и вызвать отказ от обслуживания (DoS). Daol.A – это вирус, использующий бреши 'Internet zone' и 'MHTML' с целью попадания на компьютеры и последующей активации. Данный вредоносный код заражает файлы с расширениями EXE, SCR, ASP, PLG, HTM, HTML, VBS и VBE. Если зараженный файл имеет расширение ASP, PLG, HTM, HTML, VBS или VBE, Daol.A кодирует его начальное содержимое.
Наш сегодняшний отчет мы завершим описанием Surfbar, для попадания на компьютеры использующего брешь 'Internet Explorer Object Data Remote Execution'. Он создает папки с различными ссылками на веб страницы, в основном, порнографического содержания. Кроме того, Surfbar изменяет домашнюю страницу в настройках Internet Explorer.
Более подробную информацию об этих и других вирусах Вы найдете на сайте Вирусной Энциклопедии Panda Software по адресу: http://www.pandasoftware.com/virus_info/encyclopedia/
Дополнит- ельная информация. Вредоносная программа, предоставляющая удаленный доступ: это приложение, обеспечивающее получение доступа к компьютеру. Может использоваться для захвата частичного или полного контроля над системой. Межсетевой экран: это барьер, защищающий информацию в системе или сети при наличии соединения с другой сетью, например, с Интернетом. Порт/Коммуникационный порт: точка, через которую компьютер передает и получает информацию по протоколу TCP/IP. Побробный список терминов Вы найдете на веб сайте по адресу:http://www.pandasoftware.com/virus_info/glossary/default.- aspx
О Вирусной лаборатории Panda Software
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Опубликовано: 8 сентября 2003 г.
Ключевые слова: нет
Извините, комментариев пока нет
|
